Windows 11 に Google Play ストアをインストールするスクリプト、マルウェアを含んでいたことが判明 23
ストーリー by headless
判明 部門より
判明 部門より
Windows 11 の Android アプリ実行環境で Google Play ストアを利用可能にするツールの一つである「Powershell Windows Toolbox」が実行時にマルウェアをインストールしていたことが判明し、GitHub から削除されている
(Bleeping Computer の記事、
On MSFT の記事、
Neowin の記事、
Windows Central の記事)。
Powershell Windows Toolbox はその名の通り PowerShell スクリプトで、Google Play ストアをインストールするほか、Windows のプリインストールアプリ削除・再インストールや各種カスタマイズなどの機能を備える。GitHub リポジトリに置かれていたのはドキュメントのみで、スクリプト自体は Cloudflare Workers でホストされているものを実行するよう説明していた。スクリプトは一見無害だが、難読化された部分に Cloudflare Workers でホストされた悪意あるスクリプトや、GitHub でホストされたツール類をダウンロードするコードが含まれていたという。
ダウンロードが指定されたスクリプトの中には既に入手できなくなっているものもあり、攻撃の全貌は確認できないが、悪意あるスクリプトは米国のユーザーをターゲットにしているそうだ。具体的な活動としてはタスクスケジューラーに複数のタスクを登録するほか、「C:\systemfile」フォルダーを作成して Chrome / Edge / Brave のデフォルトプロファイルをコピーし、拡張機能を生成する。また、「C:\Windows\security」以下に「pywinvera」「pywinveraa」「winver.png」という名前の Python ファイルをインストールするとのことだ。
Powershell Windows Toolbox はその名の通り PowerShell スクリプトで、Google Play ストアをインストールするほか、Windows のプリインストールアプリ削除・再インストールや各種カスタマイズなどの機能を備える。GitHub リポジトリに置かれていたのはドキュメントのみで、スクリプト自体は Cloudflare Workers でホストされているものを実行するよう説明していた。スクリプトは一見無害だが、難読化された部分に Cloudflare Workers でホストされた悪意あるスクリプトや、GitHub でホストされたツール類をダウンロードするコードが含まれていたという。
ダウンロードが指定されたスクリプトの中には既に入手できなくなっているものもあり、攻撃の全貌は確認できないが、悪意あるスクリプトは米国のユーザーをターゲットにしているそうだ。具体的な活動としてはタスクスケジューラーに複数のタスクを登録するほか、「C:\systemfile」フォルダーを作成して Chrome / Edge / Brave のデフォルトプロファイルをコピーし、拡張機能を生成する。また、「C:\Windows\security」以下に「pywinvera」「pywinveraa」「winver.png」という名前の Python ファイルをインストールするとのことだ。